Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
| utilisateurs:benjy4537:brouillons:postfix_relecture [Le 07/07/2011, 21:10] benjy4537 [Configuration de Postfix : SMTP, TLS] | utilisateurs:benjy4537:brouillons:postfix_relecture [Le 11/09/2022, 13:13] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | |||
| - | |||
| ===== Installation des paquets ===== | ===== Installation des paquets ===== | ||
| Ligne 7: | Ligne 5: | ||
| Pour une installation par défaut des serveurs mail d'Ubuntu  on utilise les paquets **dovecot-imapd**, **dovecot-pop3d**, **postfix** . | Pour une installation par défaut des serveurs mail d'Ubuntu  on utilise les paquets **dovecot-imapd**, **dovecot-pop3d**, **postfix** . | ||
| - | Mais il existe un paquet qui installe les serveurs comme un MDA (mail delivery agent), **dovecot-postfix**. Il installe les serveurs POP3, IMAP, SMTP. Ce qui ici nous arrange bien ici, car un **apt-get install dovecot-postfix** nous installe **dovecot-imapd**, **dovecot-pop3d** avec **postfix** et en plus il est déjà configurer.  | + | Mais il existe un paquet qui installe les serveurs comme un MDA (mail delivery agent), **dovecot-postfix**. Il installe les serveurs POP3, IMAP, SMTP. Ce qui ici nous arrange bien ici, car un **apt-get install dovecot-postfix** nous installe **dovecot-imapd**, **dovecot-pop3d** avec **postfix** et en plus il est déjà configurer. | 
| <note>Le paquet **dovecot-postfix** est aussi préconfiguré pour le support du chiffrement TLS et de l'authentification SASL pour les protocoles SMTP, POP3 et IMAP. Ainsi que l'on peux facilement y inclure un Filtre SIEVE.</note> | <note>Le paquet **dovecot-postfix** est aussi préconfiguré pour le support du chiffrement TLS et de l'authentification SASL pour les protocoles SMTP, POP3 et IMAP. Ainsi que l'on peux facilement y inclure un Filtre SIEVE.</note> | ||
| Ligne 20: | Ligne 18: | ||
| - | ===== Paramétrage de Postfix  et de Mysql ===== | ||
| - | |||
| - | On remplace tout le /etc/postfix/main.cf par le contenu ci dessous : | ||
| - | |||
| - | <file> | ||
| - | smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) | ||
| - | biff = no | ||
| - | append_dot_mydomain = no | ||
| - | myhostname = exemple.domain.tld | ||
| - | alias_maps = hash:/etc/aliases | ||
| - | alias_database = hash:/etc/aliases | ||
| - | myorigin = $mydomain | ||
| - | mydestination = $myhostname, localhost.$mydomain, localhost | ||
| - | mynetworks = 127.0.0.0/8 | ||
| - | recipient_delimiter = + | ||
| - | home_mailbox = Maildir/  | ||
| - | notify_classes = 2bounce, bounce, delay, policy, protocol, resource, software | ||
| - | smtpd_helo_required = yes | ||
| - | strict_rfc821_envelopes = yes | ||
| - | relay_domains = proxy:mysql:/etc/postfix/mysql_relay_domains_maps.cf | ||
| - | relay_recipient_maps = proxy:mysql:/etc/postfix/mysql_relay_recipients_maps.cf | ||
| - | virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_catchall_maps.cf | ||
| - | virtual_gid_maps = static:20001 | ||
| - | virtual_mailbox_base = /home/virtual | ||
| - | virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf | ||
| - | virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_mailbox_maps.cf | ||
| - | virtual_minimum_uid = 20001 | ||
| - | virtual_uid_maps = static:20001 | ||
| - | transport_maps = proxy:mysql:/etc/postfix/mysql_transport.cf,proxy:mysql:/etc/postfix/mysql_transport2.cf | ||
| - | proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_recipient_restrictions $smtpd_sender_login_maps $has_our_domain_as_sender | ||
| - | message_size_limit = 50240000 | ||
| - | smtpd_recipient_restrictions = | ||
| - | permit_mynetworks, | ||
| - | reject_unauth_destination, | ||
| - | permit | ||
| - | smtpd_data_restrictions = | ||
| - | reject_unauth_pipelining, | ||
| - | permit | ||
| - | </file> | ||
| - | |||
| - | FIXME | ||
| - | * myhostname : c'est le nom de votre serveur mail, configuré dans les entrées MX, par défaut mail.domaine.net | ||
| - | * mydestination : ceci est la concordance des domaines, remplacez Final-Fantasy par votre nom de machine, et FF-IRC.net par votre domaine | ||
| - | * mynetworks : permet de donner l'accès au serveur SMTP, en plus des 2 exemples, rajoutez votre IP extérieure si votre serveur n'est pas sur le même réseau que votre PC | ||
| - | * home_mailbox = Maildir/ : Ceci est important ! Nous choisissons le format Maildir en accord avec le serveur IMAP ! Vous ne pourrez pas recevoir vos mails par IMAP si cette ligne n'est pas ajoutée au fichier de configuration de Postfix ! | ||
| - | |||
| - | Le smtp de postfix est chrooter, il faut donc le retirer afin d'assurer son bon fonctionnement. On retire le chroot dans /etc/postfix/master.cf et modifier comme dessous.  | ||
| - | |||
| - | On modifie le /etc/postfix/master.cf comme ci dessous : | ||
| - | <file> | ||
| - | # | ||
| - | # Postfix master process configuration file. For details on the format | ||
| - | # of the file, see the master(5) manual page (command: "man 5 master"). | ||
| - | # | ||
| - | # ========================================================================== | ||
| - | # service type private unpriv  chroot  wakeup  maxproc command + args | ||
| - | # (yes)  (yes)  (yes)  (never) (100) | ||
| - | # ========================================================================== | ||
| - | smtp inet  n -  n  -  -  smtpd | ||
| - | #smtp inet n -  n  -  1  postscreen | ||
| - | #smtpd  pass  - -  n  -  -  smtpd | ||
| - | #dnsblog  unix  - -  n  -  0  dnsblog | ||
| - | #tlsproxy  unix - -  n  -  0  tlsproxy | ||
| - | #submission inet n -  n  -  -  smtpd | ||
| - | 587 inet n -  n  -  -  smtpd  | ||
| - | -o smtpd_tls_security_level=encrypt | ||
| - | -o smtpd_sasl_auth_enable=yes | ||
| - | -o smtpd_etrn_restrictions=reject | ||
| - | -o smtpd_client_restrictions=permit_sasl_authenticated,reject | ||
| - | #smtps  inet  n -  -  -  -  smtpd | ||
| - | # -o smtpd_tls_wrappermode=yes | ||
| - | # -o smtpd_sasl_auth_enable=yes | ||
| - | # -o smtpd_client_restrictions=permit_sasl_authenticated,reject | ||
| - | #628 inet n -  -  -  -  qmqpd | ||
| - | pickup  fifo n -  n  60  1 pickup | ||
| - | -o receive_override_options=no_header_body_checks | ||
| - | -o content_filter= | ||
| - | cleanup  unix  n -  n  -  0  cleanup | ||
| - | qmgr fifo n -  n  300  1  qmgr | ||
| - | #qmgr fifo  n -  -  300  1  oqmgr | ||
| - | tlsmgr  unix - -  n  1000?  1  tlsmgr | ||
| - | rewrite  unix  - -  n  -  -  trivial-rewrite | ||
| - | bounce  unix - -  n  -  0  bounce | ||
| - | defer unix  - -  n  -  0  bounce | ||
| - | trace unix  - -  n  -  0  bounce | ||
| - | verify  unix - -  n  -  1  verify | ||
| - | flush unix  n -  n  1000?  0  flush | ||
| - | proxymap  unix - -  n  -  -  proxymap | ||
| - | proxywrite unix - -  n  -  1  proxymap | ||
| - | smtp unix - -  n  -  -  smtp | ||
| - | # When relaying mail as backup MX, disable fallback_relay to avoid MX loops | ||
| - | relay unix  - -  n  -  -  smtp | ||
| - | -o fallback_relay= | ||
| - | # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 | ||
| - | showq unix  n -  n  -  -  showq | ||
| - | error unix  - -  n  -  -  error | ||
| - | retry unix  - -  n  -  -  error | ||
| - | discard  unix  - -  n  -  -  discard | ||
| - | local unix  - n  n  -  -  local | ||
| - | virtual  unix  - n  n  -  -  virtual | ||
| - | lmtp unix - -  n  -  -  lmtp | ||
| - | anvil unix  - -  n  -  1  anvil | ||
| - | scache  unix - -  n  -  1  scache | ||
| - | # | ||
| - | # #=================================================#=================== | ||
| - | # Interfaces to non-Postfix software. Be sure to examine the manual | ||
| - | # pages of the non-Postfix software to find out what options it wants. | ||
| - | # | ||
| - | # Many of the following services use the Postfix pipe(8) delivery | ||
| - | # agent.  See the pipe(8) man page for information about ${recipient} | ||
| - | # and other message envelope options. | ||
| - | # #=================================================#=================== | ||
| - | # | ||
| - | # maildrop. See the Postfix MAILDROP_README file for details. | ||
| - | # Also specify in main.cf: maildrop_destination_recipient_limit=1 | ||
| - | # | ||
| - | #maildrop  unix - n  n  -  -  pipe | ||
| - | # flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} | ||
| - | # | ||
| - | # See the Postfix UUCP_README file for configuration details. | ||
| - | # | ||
| - | uucp unix - n  n  -  -  pipe | ||
| - | flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) | ||
| - | # | ||
| - | # Other external delivery methods. | ||
| - | # | ||
| - | #ifmail  unix - n  n  -  -  pipe | ||
| - | # flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) | ||
| - | #bsmtp  unix  - n  n  -  -  pipe | ||
| - | #flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop #-f$sender $recipient | ||
| - | #scalemail-backend unix - n  n  -  2  pipe | ||
| - | #flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store #${nexthop} ${user} ${extension} | ||
| - | #mailman  unix  - n  n  -  -  pipe | ||
| - | #flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py | ||
| - | # ${nexthop} ${user} | ||
| - | </file> | ||
| - | |||
| - | On crée un dossier nommé vmail. Ce dossier regroupera les boîtes mail des utilisateurs.  | ||
| - | |||
| - | <code> | ||
| - | groupadd -g 20001 vmail | ||
| - | useradd -g vmail -u 20001 vmail -d /home/virtual -m | ||
| - | </code> | ||
| - | |||
| - | Bien sure il faut installer une sécuriter : | ||
| - | |||
| - | <code> | ||
| - | chown -R vmail: /home/virtual | ||
| - | chmod 770 /home/virtual | ||
| - | </code> | ||
| - | |||
| - | On crée les fichiers d’appel des tables par Postfix : (la commande sed permet de specifier votre password d’accès à la base, dans l’exemple ici c’est toto). | ||
| - | <code> | ||
| - | cd /etc/postfix | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_virtual_alias_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_virtual_domains_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_virtual_mailbox_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_relay_domains_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_relay_recipients_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_virtual_alias_domain_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_virtual_alias_domain_catchall_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_virtual_alias_domain_mailbox_maps.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_transport.cf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/mysql_transport2.cf | ||
| - | sed -i 's/\*\*\*\*/toto/g' mysql_virtual_alias_maps.cf mysql_virtual_domains_maps.cf mysql_virtual_mailbox_maps.cf mysql_relay_domains_maps.cf mysql_relay_recipients_maps.cf mysql_virtual_alias_domain_maps.cf mysql_virtual_alias_domain_catchall_maps.cf mysql_virtual_alias_domain_mailbox_maps.cf mysql_transport.cf mysql_transport2.cf | ||
| - | </code> | ||
| - | Pour le bon fonctionnement et la sécurité il faut exécuter ces deux lignes de commandes | ||
| - | |||
| - | chmod 640 mysql_* | ||
| - | chgrp postfix mysql_* | ||
| - | |||
| - | On crée des liens pour le bon fonctionnement de l'ensemble | ||
| - | |||
| - | mkdir -p /var/spool/postfix/var/run/mysqld | ||
| - | chown mysql /var/spool/postfix/var/run/mysqld | ||
| - | ln -s /var/run/mysqld/mysqld.sock /var/spool/postfix/var/run/mysqld/mysqld.sock | ||
| - | mkdir -p /var/spool/postfix/var/run/courier/authdaemon | ||
| - | ln -s /var/run/courier/authdaemon/socket /var/spool/postfix/var/run/courier/authdaemon/socket | ||
| - | chown -R daemon:daemon /var/spool/postfix/var/run/courier | ||
| - | chmod 755 /var/spool/postfix/var/run/courier/authdaemon | ||
| - | |||
| ==== Certification d'authenticité. ==== | ==== Certification d'authenticité. ==== | ||
| <note> | <note> | ||
| Ligne 334: | Ligne 151: | ||
| tls_random_source = dev:/dev/urandom | tls_random_source = dev:/dev/urandom | ||
| </code> | </code> | ||
| - | ===== Dovecot : SASL, LDA, IMAP et SIEVE ===== | ||
| Ligne 350: | Ligne 166: | ||
| - | ==== Configuration de Dovecot : ==== | ||
| - | Nous avons besoin d'un groupes d'utilisateur pour utiliser Dovecot : | ||
| - | <code> | ||
| - | adduser --system --group --home /usr/lib/dovecot --gecos "Dovecot mail server" --disabled-password --quiet dovecot | ||
| - | adduser --system --home /nonexistent --gecos "Dovecot login user"  --disabled-password --quiet dovenull | ||
| - | </code> | ||
| - | On copie les fichiers de configuration nécessaires : | ||
| - | |||
| - | <code> | ||
| - | cd /etc/dovecot/ | ||
| - | rm dovecot.conf | ||
| - | rm dovecot-sql.conf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/dovecot.conf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/dovecot-sql.conf | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/dovecot-dict-quota-sql.conf | ||
| - | chown vmail:dovecot dovecot-dict-quota-sql.conf | ||
| - | chmod 600 dovecot-sql.conf  | ||
| - | chmod 640 dovecot-dict-quota-sql.conf | ||
| - | </code> | ||
| - | |||
| - | Dans le fichier __/etc/dovecot/dovecot.conf__ a la ligne 126 et 127, il faut remplace les nom des certificat ssl que nous avons créer plus haut. | ||
| - | <code> | ||
| - | ssl_cert = </etc/postfix/tls/"nomdesociété"-cert.pem | ||
| - | ssl_key = </etc/postfix/tls/"nomdesociété"-key.pem | ||
| - | </code> | ||
| - | |||
| - | On indique le mot de passe de la table postfix au fichier de configuration : | ||
| - | |||
| - | <code> | ||
| - | sed -i 's/\*\*\*\*\*/"votremotdepass"/g' dovecot-sql.conf dovecot-dict-quota-sql.conf | ||
| - | </code> | ||
| - | ===Configuration du MDA === | ||
| - | <note>Nous avons maintenant besoin d’un MDA (mail delivery agent) pour livrer les mails dans les boîtes. | ||
| - | Le service de livraison Virtual de Postfix ne convient pas totalement pour notre usage. | ||
| - | En effet nous allons avoir besoin de capacité de filtrage sur le MDA ainsi que la possibilité de gérer les quotas, ce que ne sait pas faire Virtual.</note>  | ||
| - | Nous allons utiliser Dovecot LDA (Local Delivery Agent, le MDA de dovecot) qui s’occupera de la livraison des mails. Pour cela il faut donc configurer postfix pour qu’il utilise Dovecot comme MDA : | ||
| - | |||
| - | On ajoute ceci au fichier __/etc/postfix/main.cf__ : | ||
| - | |||
| - | <code> | ||
| - | dovecot_destination_recipient_limit = 1 | ||
| - | virtual_transport = dovecot | ||
| - | </code> | ||
| - | |||
| - | et on ajoute un transport dovecot au __/etc/postfix/master.cf__ (sous maildrop par exemple) : | ||
| - | |||
| - | <code> | ||
| - | dovecot unix - n  n  -  -  pipe | ||
| - | flags=DRhu user=vmail: argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop} -a ${recipient} | ||
| - | </code> | ||
| - | |||
| - | <note>La configuration de la documentation permet de choisir son transport par domaine. Il faut pour cela choisir Dovecot dans la configuration de domaine grace à Postfixadmin. Le domaine par défaut, crée par le script sql de la 'doc', est déja paramétré pour utiliser Dovecot. Dovecot est également préconfiguré pour utiliser les mêmes certificats SSL que Postfix.</note> | ||
| - | |||
| - | il faut maintenant créer un fichier __/etc/init.d/dovecot__, pour le rendre exécutable par défaut : | ||
| - | |||
| - | <code> | ||
| - | cd /etc/init.d/ | ||
| - | wget http://postfix-mysql-configuration-file.googlecode.com/files/dovecot | ||
| - | chmod 755 /etc/init.d/dovecot | ||
| - | insserv -v /etc/init.d/dovecot | ||
| - | </code> | ||
| - | |||
| - | On peux maintenant lancer Dovecot : | ||
| - | |||
| - | <code> | ||
| - | /etc/init.d/dovecot start | ||
| - | </code> | ||
| - | |||
| - | Ainsi que Postfix : | ||
| - | |||
| - | <code> | ||
| - | /etc/init.d/postfix reload | ||
| - | </code> | ||
| - | On vérifie dans les logs que tout a démarré correctement. | ||
| - | Bon, je continurai aprés il y a des soucis de compatibilité avec la derniére configuration de SIEVE. "Pigeonhole ManageSieve Server". | ||
| - | ===== Installation PostfixAdmin ===== | ||
| - | ==== La gestion des Quotas ==== | ||
| - | **Voila le serveur est configuré !** | ||
| - | Maintenant si vous souhaitez une sécurisation optimale vous pouvez continuer le lecture de la documentation de spamassassin, amavis etc [[http://www.starbridge.org/spip/spip.php?article12&artpage=5-18|http://www.starbridge.org]].  | ||
| - | ===== Utilisation ===== | ||
| - | ===== Désinstallation ===== | ||